Security

SiliVaccine: Noord-Korea’s antivirussoftware bevat code van Trend Micro

silivaccine

Trend Micro is in verlegenheid gebracht nu Check Point onthult dat de Noord Koreaanse antivirusoplossing SiliVaccine gebaseerd is op zijn product.

Trend Micro is in verlegenheid gebracht nu Check Point onthult dat de Noord Koreaanse antivirusoplossing SiliVaccine gebaseerd is op zijn product. Onderzoekers van Check Point brachten aan het licht dat het intellectuele kapitaal van Trend Micro al in 2005 illegaal gekopieerd is door Pyonyang Gwangmyong Information Technology en STS Tech-Service, de leveranciers van de Noord Koreaanse antivirusoplossing. De ontdekking is opmerkelijk aangezien Trend Micro een Japans bedrijf is en Japan en Noord-Korea geen officiële diplomatieke of politieke relatie hebben.

Het onderzoek begon toen het team van Check Point een zeldzaam voorbeeld van de Noord Koreaanse antivirussoftware SiliVaccine in handen kreeg van Martyn Williams, een freelance journalist met een specialisatie in Noord Koreaanse technologie. Williams ontving de software als een link in een verdachte e-mail van iemand die zich ‘Kang Yong Hak’ noemt een een Japanse techneut zou zijn. De mailbox van deze Kang is sindsdien onbereikbaar. Bij het onderzoek van het team van Check Point kwamen een aantal interessante zaken aan het licht. De vreemde e-mail van Kang bevatte en link naar een Dropbox-account met daarin een zip-bestand met een kopie van SiliVaccine. Daarbij zat ook een Koreaans ‘read me’-tekstbestand met instructies voor het gebruik van de software en een bedenkelijk bestand dat zich voordeed als patch voor SiliVaccine.

Trend Micro’s AV Scan Engine
Het doel van antivirussoftware is vanzelfsprekend het tegenhouden van alle bekende computervirussen en malware. AV-software doet dit door netwerkverkeer te scannen. Deze actie wordt uitgevoerd door de ‘engine’ van de software en deze wordt continu bijgewerkt door updates van de leverancier. De engine herkent zodoende de ‘handtekening’ van cybercriminelen in hun kwaadaardige code. Op basis van deze ‘signaturen’ blokkeert de AV-software de malware zodat deze het netwerk en de apparaten van eindgebruikers niet kan besmetten.

Het team van Check Point voerde een gedetailleerde forensische analyse uit van de engine van SiliVaccine en zag dat grote delen van deze code exact overeenkomen met de engine van Trend Micro. Bij Trend Micro weet men niet zeker hoe de technologie door de Noord Koreanen werd verkregen. Volgens de onderzoekers van Check Point is het waarschijnlijk dat een van Trend Micro’s partners, en niet het bedrijf zelf, ofwel het doelwit werd van, of mogelijk samenwerkte met, de Noord Koreanen. SiliVaccine bevat een 10 jaar oude versie van Trend Micor’s scan-engine, VSAPI. Deze engine zit in de meeste producten van Trend Micro, maar ook in de online testversies en zelfs in oplossingen van derden via verschillende OEM (original equipment manufacturers])-overeenkomsten. Naar het zich laat aanzien is de code in SiliVaccine illegaal gekopieerd, herverpakt en voorzien van extra applicatiecode die niet afkomstig is van Trend Micro. Zo houden de makers van SiliVaccine de gekopieerde code zorgvuldig verborgen in hun product.

Een belangrijke bevinding uit verder onderzoek van SiliVaccine is dat deze AV-oplossing één bepaalde malware-signatuur negeert, die het normaliter wel tegen zou moeten houden.
Volgens de onderzoekers is deze malware geen bekende malware-variant, waardoor er drie mogelijke redenen zijn waarom SiliVaccine het doorlaat. Ten eerste gaat het mogelijk om malware die Noord Korea ontwikkelde en die andere AV-oplossingen tegenhouden, maar waarvan men niet wil dat het geblokkeerd wordt. Ten tweede kan het gaan om een ‘achterdeur’ in een programma die toegang op afstand biedt tot de apparaten waarop SiliVaccine is geïnstalleerd. Ten derde kan het een onschadelijke manier zijn om een conflict tussen de code van Trend Micro en de eigengemaakte code op te lossen. Hoewel het onduidelijk is wat deze malware precies doet, is het wel duidelijk dat de Noord Koreanen niet willen dat gebruikers van SiliVaccine hiervan op de hoogte zijn.

Gebundelde malware
In de versie van SiliVaccine die Martyn ontving bevond zich ook de JAKU-malware. Deze maakte mogelijk geen deel uit van de antivirusoplossing, maar was louter toegevoegd om journalisten zoals Williams op de korrel te nemen. JAKU is bijzonder weerbare malware die een botnet vormt en al 19.000 slachtoffers maakte, met name onder gebruikers van diensten om bestanden te delen, zoals BitTorrent. Het is echter al gebleken dat JAKU zich ook richt op het aanvallen en volgen van individuele personen in zowel Zuid Korea als Japan. Hiertoe behoren onder meer personen die werken voor nietgouvernementele organisaties (NGO’s), technische bedrijven, academici, wetenschappers en ambtenaren.

De onderzoekers van Check Point zagen dat het JAKU-bestand ondertekend was met een certificaat dat uitgegeven wass door een zekere ‘Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd’. Deze signatuur werd ook gebruikt in bestanden van een andere bekende malware, ‘Dark Hotel’ genaamd. Zowel JAKU als Dark Hotel zijn vermoedelijk gecreëerd door Noord Koreaanse cybercriminelen.

De Japanese Connectie
De aanvankelijke e-mail met de kopie van SiliVaccine kwam van een Japanner en Trend Micro is een Japans bedrijf. Daarnaast vonden de onderzoekers van Check Point nog meer verbindingen met Japan. De twee bedrijven die vermoedelijk achter SiliVaccine zitten, PGI (Pyonyang Gwangmyong Information Technology) en STS Tech-Service, zijn weliswaar Noord Koreaans, maar STS werkte eerder samen met Japanse bedrijven. Saillant detail daarbij is dat Japan en Noord Korea helemaal geen handels- of diplomatieke relaties hebben.

Conclusie
Dit onthullende onderzoek van SiliVaccine maakt de authenticiteit en motieven van Noord Koreaanse IT-beveiligingsproducten op zijn minst verdacht. Het is bij IT-beveiliging weliswaar altijd lastig om stukjes code aan de correcte auteur toe te wijzen, maar het onderzoek brengt veel meer onduidelijkheden aan het licht. Het is echter wel duidelijk dat de makers en promoters van SiliVaccine twijfelachtige motieven en bedenkelijke doelen hebben met de AV-oplossing.

Dit artikel is mede gebaseerd op berichtgeving van Forbes.

Naar boven